我不是100%確定我使用的是正確的術語,或者如果我遺漏了需要回答的信息。所以請耐心等待我。當一個頁面通過https傳遞安全和非安全項目時,安全項目是否受到攻擊?
我的客戶希望在其網站的會員區域內包含來自外部來源的視頻饋送。成員區域通過https傳送,而視頻源不是。這是否會危及安全數據?
我知道一些瀏覽器提醒用戶,網頁上有加載的安全和非安全數據。坦率地說,我的客戶沒問題,但如果用戶帳戶信息(特別是會話等)受到威脅,我不想繼續前進。
感謝您的任何幫助。
如果您的頁面引用未加密的Javascript或Flash,則完全不受保護;攻擊者可以替換他想要的任何Javascript,並且可以竊取非HTTP僅cookie,或者進行假冒當前用戶的任意HTTP請求。
如果你參考未加密的CSS,你仍然是脆弱的;攻擊者可以任意修改你的佈局,並且can execute arbitrary code in IE and Firefox。
如果你參考未加密的圖像,你大多都很好;攻擊者所能做的就是查看Referer頭,並找出用戶正在看到的頁面。 (他還會爲圖片的域名獲取任何不支持SSL的Cookie)。 攻擊者也可以改變圖像以適應他的需求,這可能是一個問題。
如果您根據cookie識別您的用戶,例如使用標準SessionId,那麼即使只引用靜態圖像,您也很容易受到攻擊。
默認情況下,用戶的瀏覽器將重新發送的每個請求的會話cookie到同一個主機,與協議無關。即您在登錄表單上使用HTTPS安全地對用戶進行身份驗證,並確保對所有敏感頁面繼續使用HTTPS ...
但是,您還通過HTTP包含「非敏感」圖像...用戶的瀏覽器將愉快地發送敏感會話cookie在非加密,非安全,純文本的HTTP請求這些圖像時。
然後,它只是從HTTP抓取該cookie,並將您的用戶模擬回網站的安全部分。
注意,這是默認。 您可以通過將secure;屬性添加到您的Cookie來更改此行爲。根據您的框架,您可以將其配置爲自動發生。再次,這不是默認的,你必須明確地改變它。
當你在它的時候,也添加httpOnly;屬性。
視頻饋送如何工作? – SLaks 2011-04-12 15:55:57
視頻源通過另一臺服務器提供的Flash播放器(ustream的分水嶺) – quakkels 2011-04-12 15:59:00
如果您加載的是未加密的SWF,則非常容易受到攻擊。 – SLaks 2011-04-12 16:00:32